IPsec VPN与SSL VPN实验思路(eNSP)

1. 拓扑结构更新与设备接口分配

根据提供的拓扑图,调整设备连接分配如图:


2. 防火墙基础配置调整

总部防火墙FW1
python 复制代码
# 接口配置
interface GigabitEthernet1/0/1   # 连接LSW1(内网)
 ip address 192.168.10.254 255.255.255.0
 service-manage all permit

interface GigabitEthernet1/0/2   # 连接AR1(公网)
 ip address 49.0.0.1 255.255.255.0
 nat outbound 2001

# 安全区域
firewall zone trust
 add interface GigabitEthernet1/0/1
firewall zone untrust
 add interface GigabitEthernet1/0/2

# 默认路由
ip route-static 0.0.0.0 0.0.0.0 49.0.0.2
分部/出差防火墙FW2
python 复制代码
# 分部接口
interface GigabitEthernet1/0/1   # 连接LSW2(分部内网)
 ip address 172.16.10.254 255.255.255.0

# 出差接口
interface GigabitEthernet1/0/3   # 连接LSW3(出差内网)
 ip address 10.0.0.254 255.255.255.0

interface GigabitEthernet1/0/2   # 连接AR1(公网)
 ip address 50.0.0.1 255.255.255.0
 nat outbound 2001

# 默认路由
ip route-static 0.0.0.0 0.0.0.0 50.0.0.2

3. IPsec VPN配置

FW1(总部)
python 复制代码
# IKE提议与对等体
ike proposal 10
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256

ike peer branch
 pre-shared-key Huawei@123
 ike-proposal 10
 remote-address 50.0.0.1   # FW2公网IP

# IPsec策略与ACL
ipsec proposal ipsec_pro
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

ipsec policy-map ipsec_pol 10
 ike-peer branch
 proposal ipsec_pro
 security acl 3000

acl number 3000
 rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 172.16.10.0 0.0.0.255
FW2(分部)
python 复制代码
ike peer hq
 pre-shared-key Huawei@123
 ike-proposal 10
 remote-address 49.0.0.1   # FW1公网IP

ipsec policy-map ipsec_pol 10
 ike-peer hq
 proposal ipsec_pro
 security acl 3000

acl number 3000
 rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

4. SSL VPN配置

总部FW1
python 复制代码
# 虚拟网关绑定公网接口
ssl vpn-gateway vg1
 ip address 49.0.0.1 port 443
 service enable

# 资源组包含总部内网资源
resource-group rg1
 web-url "http://192.168.10.100"  # 总部服务器
 tcp-resource 1
  address 192.168.10.200
  port 3389
  local-port 53389  # 映射远程桌面

# 用户认证配置
aaa
 local-user user-remote password cipher Huawei@123
 service-type sslvpn
 access-limit 5

5. 路由器AR1公网路由配置

python 复制代码
# 接口配置
interface GigabitEthernet0/0/0   # 连接FW1
 ip address 49.0.0.2 255.255.255.0

interface GigabitEthernet0/0/1   # 连接FW2
 ip address 50.0.0.2 255.255.255.0

# 静态路由
ip route-static 192.168.10.0 255.255.255.0 49.0.0.1
ip route-static 172.16.10.0 255.255.255.0 50.0.0.1
ip route-static 192.168.20.0 255.255.255.0 10.0.0.254

6. 交换机LSW1/LSW2/LSW3配置(示例为LSW1)

python 复制代码
# 默认VLAN 1,所有端口为access模式
vlan 1

interface Ethernet0/0/1   # 连接PC1
 port link-type access
 port default vlan 1

interface Ethernet0/0/3   # 连接FW1
 port link-type access
 port default vlan 1

7. 关键验证步骤

IPsec VPN验证
  1. 在FW1和FW2上检查SA状态:

    bash 复制代码
    display ike sa
    display ipsec sa
  2. 从分部PC2 ping 总部服务器:

    bash 复制代码
    PC2> ping 192.168.10.100
SSL VPN验证
  1. 出差用户PC3通过浏览器访问:

    bash 复制代码
    https://49.0.0.1

    使用用户名 user-remote 和密码 Huawei@123 登录。

  2. 访问Web资源或通过远程桌面连接:

    bash 复制代码
    PC3> telnet 127.0.0.1 53389  # 测试映射的RDP端口

总结

本实验演示了VPN网络的搭建过程,涵盖IPsec与SSL VPN的配置、安全策略设计及故障排查方法。通过此实验,可深入理解以下知识点:

  • VPN技术在网络安全中的核心作用。

  • 防火墙多区域安全策略的精细化控制。

  • NAT与VPN共存的解决方案。

相关推荐
Me4神秘2 小时前
电信、移动、联通、广电跨运营商网速慢原因
网络
数通Dinner3 小时前
RSTP 拓扑收敛机制
网络·网络协议·tcp/ip·算法·信息与通信
liulilittle4 小时前
SNIProxy 轻量级匿名CDN代理架构与实现
开发语言·网络·c++·网关·架构·cdn·通信
tan77º5 小时前
【Linux网络编程】Socket - UDP
linux·服务器·网络·c++·udp
小白爱电脑5 小时前
光纤的最小弯曲半径是多少?
网络
花落已飘6 小时前
多线程 vs 异步
linux·网络·系统架构
qq_171538859 小时前
TCP/IP协议精解:IP协议——互联网世界的邮政编码系统
网络·网络协议·tcp/ip
珹洺9 小时前
计算机网络:(七)网络层(上)网络层中重要的概念与网际协议 IP
网络·tcp/ip·计算机网络
兮动人10 小时前
获取终端外网IP地址
java·网络·网络协议·tcp/ip·获取终端外网ip地址
怦然星动_10 小时前
eNSP中实现vlan间路由通信(路由器)
网络·智能路由器